計算機風險評估管理程序,第5章信息安全風險評估實施流程

《第5章信息安全風險評估實施流程》由會員分享，可在線閱讀，更多相關《第5章信息安全風險評估實施流程(25頁珍藏版)》請在人人文庫網上搜索。

1、第第5章章信息安全風險信息安全風險評估評估實施實施流程流程趙趙剛剛信息安全管理與風險評估 5.1 風險評估準備 1. 確定風險評估的目標確定風險評估的目標 2. 確定風險評估的確定風險評估的范圍范圍 3. 組建評估團隊組建評估團隊 4. 進行系統調研進行系統調研 5. 確定評估依據和方法確定評估依據和方法 6. 制定評估方案制定評估方案 7. 獲得最高管理者獲得最高管理者支持支持信息安全管理與風險評估 5.2 資產識別 5.2.1 工作內容 1. 回顧評估范圍內的業務回顧評估范圍內的業務 2. 識別信息資產，進行合理分類識別信息資產，進行合理。

2、分類 3. 確定每類信息資產的安全需求確定每類信息資產的安全需求 4. 為每類信息資產的重要性為每類信息資產的重要性賦值賦值信息安全管理與風險評估 5.2.2 參與人員 5.2.3 工作方式 1 . 評估評估范圍之內的業務范圍之內的業務識別識別 2. 資產的識別與分類資產的識別與分類 3. 安全需求分析安全需求分析 4. 資產賦值資產賦值 5.2 資產識別信息安全管理與風險評估 5.2 資產識別分類示例數據保存在信息媒介上的各種數據資料，包括源代碼、數據庫數據、系統文檔、運行管理規程、計劃、報告、用戶手冊等。軟件系統軟件：操作系統、語言包、工。

3、具軟件、各種庫等；應用軟件：外部購買的應用軟件、外包開發的應用軟件等；源程序：各種共享源代碼、自行或合作開發的各種代碼等。硬件網絡設備：路由器、網關、交換機等；計算機設備：大型機、小型機、服務器、工作站、臺式計算機、移動計算機等；存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等；傳輸線路：光纖、雙絞線等；保障設備：動力保障設備(UPS、變電設備等)、空調、保險柜、文件柜、門禁、消防設施等；安全保障設備：防火墻、入侵檢測系統、身份驗證等；其他：打印機、復印機、掃描儀、傳真機等。服務辦公服務：為提高效率而開發的管理信息系統，包括各種內部配置管理、文件流轉管理等服務；。

4、網絡服務：各種網絡設備、設施提供的網絡連接服務；信息服務：對外依賴該系統開展的各類服務。文檔紙質的各種文件，如傳真、電報、財務報告、發展計劃等。人員掌握重要信息和核心業務的人員，如主機維護主管、網絡維護主管及應用項目負責人等。其它企業形象、客戶關系等。信息安全管理與風險評估 5.2.4 工具及資料 1. 自動化工具自動化工具 2. 手工記錄手工記錄表格表格 3. 輔助輔助材料材料 5.2 資產識別信息安全管理與風險評估資產識別記錄表項目名稱或編號表格編號資產識別活動信息日期起止時間訪談者訪談對象及說明地點說明記錄信息。

5、所屬業務業務編號所屬類別類別編號資產名稱資產編號 IP地址物理位置功能描述保密性要求完整性要求可用性要求重要程度安全控制措施負責人備注信息安全管理與風險評估 5.2 資產識別 5.2.5 輸出結果資產及評價報告信息安全管理與風險評估 5.3 威脅識別 5.3.1 工作內容 1. 威脅識別威脅識別 2. 威脅威脅分類分類 3. 威脅威脅賦值賦值 4. 構建威脅構建威脅場景場景 5.3.2 參與人員信息安全管理與風險評估 5.3.3 工作方式 1. 威脅識別威脅識別 (1)針對實際威脅的識別活動 (2)。

6、針對潛在威脅的識別活動 2. 威脅威脅分類分類 3. 構建構建威脅威脅場景場景 4. 威脅賦值威脅賦值 5.3.4 工具及資料 5.3 威脅識別信息安全管理與風險評估來源描述環境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環境條件或自然災害，意外事故或軟件、硬件、數據、通訊線路方面的故障人為因素惡意人員不滿的或有預謀的內部人員對信息系統進行惡意破壞；采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益；外部人員利用信息系統的脆弱性，對網絡或系統的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員內。

7、部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊信息安全管理與風險評估 5.3.5 輸出結果威脅列表；關鍵資產的威脅場景。 5.3 威脅識別信息安全管理與風險評估 5.4.1 工作內容 5.4.2 參與人員序號活動名稱參與人員來自于評估單位來自于被評估單位 1脆弱性識別項目負責人脆弱性識別小組項目負責人識別活動中配合人員或訪談對象 2脆弱性識別結果整理與展現脆弱性識別小組 3脆弱性賦值脆弱性識別小。

8、組 5.4 脆弱性識別信息安全管理與風險評估 5.4.3 工作方式 1. 脆弱性脆弱性識別識別方法方法 2. 脆弱性識別脆弱性識別原則原則 (1)全面考慮和突出重點相結合的原則 (2)局部與整體相結合的原則 (3)層次化原則 (4)手工與自動化工具相結合的原則 3. 脆弱性識別內容脆弱性識別內容 5.4 脆弱性識別信息安全管理與風險評估信息安全管理與風險評估 5.4.3 工作方式 4. 脆弱性脆弱性賦值賦值 5. 脆弱性分類的脆弱性分類的設計設計 5.4 脆弱性識別信息安全管理與風險評估 5.4.4 工具及。

9、資料 1. 漏洞漏洞掃描掃描工具工具 2. 各類檢查各類檢查列表列表 3. 滲透滲透測試測試 5.4.5 輸出結果 1. 原始原始的識別的識別結果結果 2. 漏洞漏洞分析報告分析報告 5.4 脆弱性識別信息安全管理與風險評估 5.5 已有安全措施確認 5.5.1 工作內容 5.5.2 參與人員序號活動名稱參與人員來自于評估單位來自于被評估單位 1 技術控制措施的識別與確認項目負責人安全控制措施識別小組項目負責人識別活動中配合人員或訪談對象，主要包括被評估組織的安全主管、負責安全的管理員 2 管理和操作控制措施的識別與確認項目負責人安全控制措。

10、施識別小組項目負責人被評估組織的安全主管信息安全管理與風險評估 5.5.3 工作方式 1. 技術技術控制措施的識別與控制措施的識別與確認確認 2. 管理和操作控制措施的識別與管理和操作控制措施的識別與確認確認 3. 分析與分析與統計統計 5.5.4 工具及資料 5.5.5 輸出結果 5.5 已有安全措施確認信息安全管理與風險評估 5.6 風險分析 5.6.1 風險計算原理 1. 計算安全事件發生的計算安全事件發生的可能性可能性安全事件的可能性=L(威脅出現頻率，脆弱性) = L(T, V) 2. 計算安全事件發生后造成的計算安全事件發生后造成的。

11、損失損失安全事件造成的損失=F(資產價值，脆弱性嚴重程度) = F(Ia, Va) 3. 計算風險值計算風險值風險值= R(安全事件的可能性，安全事件造成的損失) = R(L(T, V), F(Ia, Va) (1)風險計算：相乘法 (2)風險計算：矩陣法信息安全管理與風險評估 5.7 風險處理計劃圖5-2 風險管理方法圖信息安全管理與風險評估 5.7.1 現存風險判斷 5.7.2 控制目標確定 5.7.3 控制措施選擇 1. 接受風險接受風險 2. 避免避免風險風險 3. 轉移轉移風險風險 4. 降低降低風險風險 5. 處置殘留風險處置殘留風。

12、險 5.7 風險處理計劃信息安全管理與風險評估 5.8 風險評估報告信息安全管理與風險評估封皮封皮XXXX信息安全風險評估報告信息安全風險評估報告被評估的系統：被評估單位：評估類別：負責人：評估時間：目錄目錄第一章第一章綜述介紹評估準備的相關內容。介紹評估準備的相關內容。第第2章章識別并評價資產介紹資產的識別和評價結果。介紹資產的識別和評價結果。第第3章章識別并評估威脅介紹威脅的識別和評價結果。介紹威脅的識別和評價結果。第第4章章識別并評估脆弱性介紹脆弱性的識別和評價結果。介紹脆弱性的識別和評價結果。第第5章章識別安全。

13、措施介紹已有安全措施的識別和分析結果。介紹已有安全措施的識別和分析結果。第第6章章分析可能性和影響介紹可能性和影響的分析結果。介紹可能性和影響的分析結果。第第7章章風險計算介紹風險的計算結果。介紹風險的計算結果。第第8章章風險控制介紹需控制的風險及控制措施。介紹需控制的風險及控制措施。第第9章章總結對本次評估進行總結。對本次評估進行總結。信息安全管理與風險評估思考題思考題簡單敘述“風險評估準備”階段的主要工作內容。簡單敘述“資產識別”的工作內容和工作方式。簡單敘述“威脅識別”的工作內容和參與人員。敘述“針對潛在威脅的識別活動”的主要內容。如何構建威脅場景？簡單敘述“脆弱性識別”的工作方式。敘述“風險計算原理”。。